Maddie stirr主要是做一些route,做APP的这样的一个root的这样一个功能,那框架类工具可以实现脱壳过签绕过检测抓取密钥,还有定位等一系列这样的恶意工作。我们知道像这个双开工具,黑灰圈也会利用这样的双排工具进行拖和过签,还有x插post这两个工具他们会结合起来使用,做一些检测的绕过,做一些密钥的抓取,还有做一些虚拟定位,像如果使用钉钉,或者是使用这些聊天工具,他们都会有这样的一个打卡的,这样的一个功能,但是使用这些工具可以进行虚拟定位,然后去模拟打卡,然后造成了这样的一个公司的这样的一个损失。
所以说我们可以看到了框架类工具主要是拿出了这几个比较有代表性的这样的一些工具,然后进行分析。我们首先看一下双开的原理,框架类双开工具主要是依赖于这样的一个获客的这样一个机制。我们知道一个APP它在运行的时候会产生一些本地进程,会与系统的这样的服务进程进行通信,那在通信的过程当中主要是依赖什么?依赖安卓所提供的这样的一个通信机制,这样一个通信机制实现了本地的进程和远程服务进程的一个桥接。
那APP的4大组件,我们知道是哪4大Activity,还有service,还有counting provider,还有broadcast那这4大组件在执行的过程当中,也是通过与安卓所提供的这样的远程服务进行通信,来实现的这样的界面展示服务的这样的一个执行等等。那双开工具就是实现了bender hook的这种机制,可以通过拦截本地的这样一个代理,我们可以看到在这个粉红色的里面有一个proxi,hook,因为本地进程进行通信的时候,主要是通过设计模式当中的这样的一个proxy,这样的一个设计模式,然后来进行通信的那这样双开工具它会对这样的一个proxy进行一个hook,可以拦截本地的这样的一个代理的,这样一个通信,所以它完全可以实现对4大组建的这样的一个拦截,从而实现在这样的一个双开的环境下,可以实现另一个a同样的APP在双开环境之下可以进行正常的运行,所以就实现了这样的一个APP,假如微信会有两个微信可以在系统上进行同时运行的这样一个原理了。
那我们再看一下vmos和叉post,那为什么把这两个进行结合起来?因为基于谷歌所提供的一个safety net的这样一个教研机制,在安卓7.0以上无法使用叉POS的框架了,为什么?因为这样的一个校验机制不允许直接修改安卓的这样的一个system分区。所以叉pose在7.0以上的手机是无法直接运行的。